CTT Report Hub
3.4K subscribers
9.58K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 16-05-2024 Security Brief: Artificial Sweetener: SugarGh0st RAT Used to Target American Artificial Intelligence Experts https://www.proofpoint.com/us/blog/threat-insight/security-brief-artificial-sweetener-sugargh0st-rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Аналитики по киберугрозам обнаружили кампанию SugarGh0st RAT, направленную против американских организаций, занимающихся искусственным интеллектом, с особым акцентом на научные круги, частную промышленность и государственный сектор. Злоумышленники, идентифицированные как UNK_SweetSpecter, использовали специальный вариант Gh0stRAT, известный как SugarGh0st RAT, для отправки электронных писем на тему искусственного интеллекта с вредоносными вложениями, чтобы заманить цели. Эта кампания, начавшаяся в мае 2024 года, включала в себя перенос командных и контрольных коммуникаций на новый уровень и продемонстрировала серию целенаправленных, хотя и бесхитростных атак на такие организации, как американская телекоммуникационная фирма и международная медиа-организация. Интерес группы к информации, генерируемой ИИ, и ориентация на экспертов в области ИИ предполагают стратегический мотив, возможно, связанный с напряженными отношениями между США и Китаем по поводу доступа к технологиям. Аналитики советуют создать базовые механизмы обнаружения для выявления аналогичных вредоносных действий.
-----

Недавно Proofpoint обнаружила кампанию SugarGh0st RAT, ориентированную на американские организации, занимающиеся искусственным интеллектом в академических кругах, частном секторе и государственном секторе. Группа, стоящая за этим мероприятием, известная как UNK_SweetSpecter, использовала специальный вариант Gh0stRAT под названием SugarGh0st RAT. Ранее использовавшийся в Центральной и Восточной Азии SugarGh0st RAT был использован в кампании в мае 2024 года, которая включала в себя рассылку электронных писем на тему искусственного интеллекта с вредоносными вложениями для привлечения клиентов. Цепочка заражения, напоминающая "Цепочку заражения 2" от Cisco Talos, включала в себя JavaScript-дроппер, который развертывал документы-приманки, инструмент ActiveX и зашифрованный двоичный файл.

Примечательно, что UNK_SweetSpecter перенес свои системы управления (C2) с предыдущих доменов на домен "account.gommask.online". Инфраструктура C2 была размещена на AS142032, а общий хостинг был предоставлен другому зарегистрированному домену. С момента своего первоначального отчета в ноябре 2023 года SugarGh0st RAT участвовала в нескольких кампаниях, нацеленных на такие организации, как телекоммуникационная компания США, международная медиа-организация и правительственное агентство Южной Азии. Несмотря на то, что эти кампании не были технически сложными, они были очень целенаправленными, а кампания, проведенная в мае 2024 года, была сосредоточена на небольшом числе лиц, связанных с известной американской организацией по искусственному интеллекту.

Анализ, проведенный Cisco Talos, показал, что китайскоязычные злоумышленники изначально использовали SugarGh0st RAT. Хотя языковые артефакты подтвердили это, Proofpoint не хватает дополнительных данных для более точной идентификации. Тема кампании и ориентация на экспертов в области искусственного интеллекта свидетельствуют об интересе к информации, генерируемой искусственным интеллектом, особенно учитывая текущие усилия США по ограничению доступа Китая к таким технологиям. Защитникам предприятий рекомендуется установить базовые показатели для выявления вредоносной активности, как показано в этой кампании, в ходе которой при целенаправленных атаках с использованием подводного фишинга использовались обычные инструменты для первоначального доступа.
#cyberthreattech #phdays2024

Еле уместил все ключевые моменты в формат 40 мин. доклада.
Кажется, что полный рассказ может занять часа 3 :)
👍3
#ParsedReport #CompletenessHigh
17-05-2024

Cutting Edge, Part 3: Investigating Ivanti Connect Secure VPN Exploitation and Persistence Attempts

https://cloud.google.com/blog/topics/threat-intelligence/investigating-ivanti-exploitation-persistence

Report completeness: High

Actors/Campaigns:
Unc5325 (motivation: cyber_espionage)
Unc3886 (motivation: cyber_espionage)
Unc4841

Threats:
Lolbin_technique
Bushwalk
Pitstop
Pitdog
Pitjet
Pithook
Interactsh_tool
Pitsock

Industry:
Telco

Geo:
Chinese, China

CVEs:
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-22024 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.1, 22.4, 22.5)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)


ChatGPT TTPs:
do not use without manual check
T1190, T1068, T1547, T1564, T1036, T1070, T1559, T1203, T1606, T1556, have more...

IOCs:
File: 6
Hash: 14

Soft:
Ivanti, Unix, outlook

Algorithms:
base64, rc4, md5, aes

Functions:
first_run, edit_current_data_backup, upgrade_monitor, edit_factory_reset, httpd_monitor, inject_loop, persist, getHandshakePlugin

Win API:
decompress, setsockopt

Languages:
python, perl, java

YARA: Found

Links:
https://github.com/kubo/injector
https://github.com/projectdiscovery/interactsh
https://github.com/gaffe23/linux-inject
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 Cutting Edge, Part 3: Investigating Ivanti Connect Secure VPN Exploitation and Persistence Attempts https://cloud.google.com/blog/topics/threat-intelligence/investigating-ivanti-exploitation-persistence Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в деятельности предполагаемого китайского злоумышленника UNC5325, который использовал уязвимости нулевого дня Ivanti на оборонно-промышленной базе США. UNC5325 использует сложные технологии, новые вредоносные программы, такие как LITTLELAMB.WOOLTEA, и тактику "жизни за пределами земли", чтобы избежать обнаружения, скомпрометировать защищенные устройства Ivanti Connect, внедрять различные вредоносные программы и поддерживать постоянство после обновления системы и внесения исправлений. Кроме того, UNC5325 использовал уязвимость CVE-2024-21893, разработал новую веб-оболочку BUSHWALK и использовал плагины SparkGateway для внедрения бэкдоров и обеспечения несанкционированного доступа к скомпрометированным устройствам. Этот злоумышленник использовал тактику и методы, схожие с тактикой и методами другого предполагаемого китайского злоумышленника, UNC3886, и продемонстрировал сосредоточенность на компрометации сетевых устройств в оборонно-промышленном комплексе и технологическом секторе.
-----

Расследования, проведенные Mandiant и Ivanti в отношении широкомасштабного использования Ivanti zero-days, выявили значительную активность в различных отраслях промышленности, в частности на оборонно-промышленной базе США. UNC5325, подозреваемый в китайской угрозе, был идентифицирован как организация, стоящая за этими действиями. Этот злоумышленник использует методы "жизни за пределами земли" (LotL), а также внедряет новые вредоносные программы, такие как LITTLELAMB.WOOLTEA, чтобы избежать обнаружения и поддерживать постоянство после обновления системы и внесения исправлений.

UNC5325 использовал уязвимость CVE-2024-21893 для взлома защищенных устройств Ivanti Connect, продемонстрировав глубокое понимание целевой технологии. Mandiant наблюдал, как UNC5325 внедрял различные вредоносные программы, такие как LITTLELAMB.WOOLTEA, PITSTOP, PITDOG, PITJET и PITHOOK, с совпадением тактики, методов и процедур (TTP) с другим предполагаемым китайским участником угроз, UNC3886. Компания Mandiant со средней степенью уверенности предположила, что UNC5325 связан с UNC3886, который сосредоточился на компрометации сетевых устройств с использованием новых методов борьбы с технологиями виртуализации в оборонно-промышленном комплексе и технологическом секторе.

Использование UNC5325 CVE-2024-21893 привело к развертыванию дополнительного вредоносного ПО и попыткам сохранить постоянный доступ к скомпрометированным устройствам. Эксплойт для обхода этой уязвимости привел к разработке новой веб-оболочки BUSHWALK, которая позволяла получать несанкционированный доступ к ограниченным ресурсам на исправленных устройствах. Варианты BUSHWALK продемонстрировали сложные методы обхода, включая модификацию модулей Perl и использование уникальных системных утилит в продуктах Ivanti, чтобы оставаться незамеченными.

Кроме того, UNC5325 использовал плагины SparkGateway для постоянного внедрения общих объектов и развертывания бэкдоров после использования CVE-2024-21893. Вредоносное ПО, подобное LITTLELAMB.WOOLTEA, продемонстрировало способность сохраняться при обновлениях системы и исправлениях, манипулируя системными файлами в процессе обновления. Вредоносное ПО также продемонстрировало дополнительный метод сохранения с помощью функции upgrade_monitor(), которая поддерживала сохранение при обновлении системы и исправлениях.

Кроме того, UNC5325 использовал второй вредоносный плагин SparkGateway с именем security.jar (PITDOG), чтобы внедрить общий объект в память веб-процесса и запустить постоянный бэкдор (dsAgent/PITSTOP). Плагин продемонстрировал методы, позволяющие обеспечить непрерывное выполнение вредоносного бэкдора без вмешательства основного приложения.
#ParsedReport #CompletenessHigh
17-05-2024

Cutting Edge, Part 2: Investigating Ivanti Connect Secure VPN Zero-Day Exploitation

https://cloud.google.com/blog/topics/threat-intelligence/investigating-ivanti-zero-day-exploitation

Report completeness: High

Actors/Campaigns:
Unc5221 (motivation: cyber_espionage)
Emissary_panda

Threats:
Bushwalk
Lightwire
Chainline_shell
Wirefire
Framesting_shell
Zipline_backdoor
Warpwire
Impacket_tool
Crackmapexec_tool
Timestomp_technique

Industry:
Healthcare

Geo:
China

CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)


ChatGPT TTPs:
do not use without manual check
T1190, T1134, T1100, T1553, T1027, T1552, T1041, T1563, T1083, T1210, have more...

IOCs:
File: 7
Hash: 9
Domain: 11
IP: 8

Soft:
Ivanti, Active Directory, cpanel

Algorithms:
hmac, aes-128, base64, sha1, aes, rc4, aes-128-cbc, sha256

Functions:
BUSHWALK, add_resource, exec

Win API:
decompress

Languages:
perl, python

YARA: Found
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 Cutting Edge, Part 2: Investigating Ivanti Connect Secure VPN Zero-Day Exploitation https://cloud.google.com/blog/topics/threat-intelligence/investigating-ivanti-zero-day-exploitation Report completeness: High…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Mandiant выявила и проанализировала ряд критических уязвимостей нулевого дня, затрагивающих устройства Ivanti Connect Secure VPN и Policy Secure, которые были использованы злоумышленниками, в частности UNC5221, связанными с Китаем. В анализе также рассматриваются различные семейства вредоносных программ, тактика последующей эксплуатации и методы обхода угроз, используемые злоумышленниками, что подчеркивает эволюционирующий характер киберугроз и важность своевременного обнаружения и стратегий смягчения последствий. Сотрудничество между Mandiant и отраслевыми партнерами сыграло важную роль в реагировании на эти сложные киберугрозы.
-----

Компания Mandiant раскрыла четыре критические уязвимости, затрагивающие устройства Ivanti Connect Secure VPN (CS) и Ivanti Policy Secure (PS): CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 и CVE-2024-21893.

Эти уязвимости позволили злоумышленникам, включая UNC5221, запускать произвольные команды на устройствах с повышенными привилегиями, что привело к их использованию начиная с 3 декабря 2023 года.

UNC5221 и другие группы по борьбе с угрозами осуществляли широкомасштабную деятельность по эксплуатации с использованием автоматизированных методов выявления уязвимостей после их обнаружения, используя TTP, подробно описанные в рамках нескольких мероприятий по реагированию на инциденты. Новые семейства вредоносных программ, такие как LIGHTWIRE, BUSHWALK, CHAINLINE и FRAMESTING, были отнесены к UNC5221.

Компания Mandiant определила обходной метод защиты, использующий веб-оболочку BUSHWALK, позволяющий обойти первоначальные меры защиты, предоставляемые Ivanti, демонстрируя эволюционирующие угрозы.

Различные версии вредоносного ПО WARPWIRE были нацелены на пароли и имена пользователей с открытым текстом, а Mandiant - на изощренную тактику злоумышленников. Инструменты с открытым исходным кодом облегчали последующую эксплуатацию устройств Ivanti.

Mandiant обнаружил изменения в пакете CAV Python, включая включение веб-оболочек, таких как WIREFIRE, CHAINLINE и FRAMEWORK TESTING. В ответ на подозрительные действия были получены предупреждения от внутренних средств проверки целостности.

Документ UNC5221 был со средней степенью достоверности связан со шпионской деятельностью, связанной с Китаем, с использованием TTP, согласованных с предыдущими вторжениями, связанными с подозреваемыми в шпионаже лицами, базирующимися в Китае.

Компания Mandiant рекомендовала организациям сбросить пароли локальных пользователей на уязвимых устройствах, просмотреть телеметрию EDR, а брандмауэр зарегистрировать инцидент после WARPWIRE.

Компания Mandiant опубликовала руководство по устранению выявленных уязвимостей в устройствах Ivanti и повышению их защищенности от них, отметив успешное сотрудничество с Ivanti, Mandiant Consulting, Intelligence, FLARE и Google TAG team при реагировании на инциденты, связанные с использованием UNC5221.
#ParsedReport #CompletenessMedium
17-05-2024

When Cats Fly: Suspected Iranian Threat Actor UNC1549 Targets Israeli and Middle East Aerospace and Defense Sectors

https://cloud.google.com/blog/topics/threat-intelligence/suspected-iranian-unc1549-targets-israel-middle-east

Report completeness: Medium

Actors/Campaigns:
Unc1549 (motivation: cyber_espionage)
Tortoiseshell (motivation: cyber_espionage)
Irgc

Threats:
Supply_chain_technique
Minibike
Minibus
Smokeloader
Credential_harvesting_technique
Spear-phishing_technique
Lightrail
Lastenzug_tool

Industry:
Aerospace, Education

Geo:
German, Israelis, Israel, India, Iranian, Iran, Turkey, Emirates, Albania, Israeli

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1027, T1047, T1071, T1562, T1119, T1090, T1059, T1547, have more...

IOCs:
Domain: 141
Hash: 45
File: 27
Path: 6
Registry: 3
IP: 1

Soft:
outlook, Microsoft SharePoint, Microsoft OneDrive, Android

Algorithms:
zip, md5

Platforms:
x64

Links:
https://github.com/codewhitesec/Lastenzug
CTT Report Hub
#ParsedReport #CompletenessMedium 17-05-2024 When Cats Fly: Suspected Iranian Threat Actor UNC1549 Targets Israeli and Middle East Aerospace and Defense Sectors https://cloud.google.com/blog/topics/threat-intelligence/suspected-iranian-unc1549-targets-israel…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается кампания по борьбе с киберугрозами, приписываемая связанной с Ираном группе UNC1549, нацеленной на аэрокосмическую, авиационную и оборонную промышленность в странах Ближнего Востока. Исполнители угроз, связанные с КСИР Ирана, используют уникальные лазейки и тактику социальной инженерии, уделяя особое внимание кампании на военную тематику Израиля и Хамаса. В отчете подчеркивается участие UNC1549 в операции, подчеркивается использование нетрадиционной тактики и развертывание пользовательских семейств вредоносных программ, таких как MINIBIKE и MINIBUSUS. Постоянство кампании и появление новых версий вредоносного ПО, а также подключение к инфраструктуре Azure создают значительные риски для целевых организаций и частных лиц в таких регионах, как Израиль, Индия и ОАЭ.
-----

Компания Mandiant раскрыла подозрительную шпионскую деятельность связанной с Ираном террористической группировки UNC1549, нацеленной на аэрокосмическую, авиационную и оборонную промышленность в странах Ближнего Востока.

UNC1549, связанная с компанией Tortoiseshell, связанной с КСИР Ирана, проводит постоянную кампанию, по крайней мере, с июня 2022 года, используя бэкдоры для мини-велосипедов и микроавтобусов, методы уклонения и облачную инфраструктуру Azure.

Примечательным аспектом является наблюдение за военной кампанией Израиля и Хамаса во время обострения напряженности в отношениях с Ираном с использованием нетрадиционных тактик, таких как тематические приманки и более 125 поддоменов Azure C2.

Кампания включает в себя поддельные веб-сайты для вербовки персонала, на которых размещается полезная информация, в том числе поддельное приложение, связанное с Хамасом, и использование .NET-приложений для доставки вредоносного ПО.

Подробно описаны пользовательские семейства вредоносных программ MINIBIKE и MINIBUS, причем MINIBUS - это более сложная платформа, предназначенная для опытных операторов, связанная с конфликтом между Израилем и ХАМАСОМ и нацеленная на несколько стран.

Другой инструмент под названием LIGHTRAIL, связанный с UNC1549, имеет общие инфраструктурные черты с минибайком и микроавтобусом и ориентирован на пересекающиеся среды обитания жертв.

Угроза связана с вредоносной полезной нагрузкой, скрытой в ZIP-архиве с именем bringthemhomenow.zip, включая бэкдор для микроавтобуса, предназначенный для поддержания постоянства с помощью перехвата заказов на поиск и связи C2 с поддоменами Azure и различными доменами, затрагивающими множество стран.

Организациям и частным лицам в целевых регионах, таких как Израиль, Индия, ОАЭ и Албания, рекомендуется усилить меры безопасности, чтобы снизить риски, связанные с этой кампанией по борьбе с киберугрозами.
#ParsedReport #CompletenessHigh
17-05-2024

Cutting Edge, Part 4: Ivanti Connect Secure VPN Post-Exploitation Lateral Movement Case Studies

https://cloud.google.com/blog/topics/threat-intelligence/ivanti-post-exploitation-lateral-movement

Report completeness: High

Actors/Campaigns:
Volt_typhoon
Unc5291
Unc5221
Unc5266 (motivation: cyber_espionage)
Unc3569 (motivation: cyber_espionage)
Unc5330 (motivation: cyber_espionage)
Unc5337 (motivation: cyber_espionage)
Unc5325

Threats:
Sliver_c2_tool
Warpwire
Terribletea
Smanager
Tonerjam
Spawnsnail
Spawnmole
Spawnnant
Spawnsloth
Crackmapexec_tool
Rootrot
Brickstorm
Dcsync_technique

Victims:
Ivanti, U.s. energy sector, U.s. defense sector, Vmware vcenter servers

Industry:
Healthcare, Energy

Geo:
China, Rwanda

CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2019-11539 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- pulsesecure pulse connect secure (8.2r1.1, 8.2r2.0, 8.1r1.0, 8.2r4.0, 8.2r5.0)
- pulsesecure pulse policy secure (5.1r5.0, 5.1r1.1, 5.1r2.0, 5.2r7.0, 5.3r7.0)
- ivanti connect secure (8.2, 8.3, 8.1)

CVE-2020-8218 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- pulsesecure pulse connect secure (le9.0)
- ivanti connect secure (9.1)
- pulsesecure pulse policy secure (le9.0)
- ivanti policy secure (9.1)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1071, T1547, T1059, T1105

IOCs:
File: 3
Path: 1
Hash: 20
IP: 7
Domain: 3

Soft:
Ivanti, Microsoft Exchange, SELinux, active directory, Windows Certificate, systemd, curl, outlook, cpanel

Algorithms:
md5, sha256, xxtea, aes, base64

Win API:
PIE

Languages:
perl, python

YARA: Found

Links:
https://github.com/kubo/funchook
https://github.com/gorilla/mux
https://github.com/lonng/nex
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 Cutting Edge, Part 4: Ivanti Connect Secure VPN Post-Exploitation Lateral Movement Case Studies https://cloud.google.com/blog/topics/threat-intelligence/ivanti-post-exploitation-lateral-movement Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Mandiant отслеживает активность киберугроз, используя уязвимости Ivanti, в частности, связанные с многочисленными шпионскими группами, связанными с Китаем, и финансово мотивированными субъектами. Анализ сосредоточен на выявлении групп злоумышленников, использующих эти уязвимости, их тактике и методах, развертывании семейств вредоносных программ и инструментов, а также на важности специализированного вредоносного ПО в киберкампаниях против передовых устройств.
-----

Mandiant активно отслеживает многочисленные группы киберугроз, использующих уязвимости Ivanti, включая CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893.

Эти эксплойты связаны с предполагаемыми шпионскими группами, связанными с Китаем, и финансово мотивированными субъектами, занимающимися крипто-майнингом.

Компания Mandiant выявила восемь различных кластеров, использующих эти уязвимости, причем пять кластеров, связанных с Китаем, совершают вторжения.

Выделены конкретные группы действующих лиц, представляющих угрозу, включая UNC5291, UNC5221, UNC5330, UNC5337 и UNC5266.

Среди известных действий - UNC5291, нацеленный на энергетический и оборонный секторы США, UNC5221, использующий CVE-2023-46805 и CVE-2024-21887, и UNC5330, использующий сложные методы, такие как WMI, для вторжений.

Семейства вредоносных программ и инструменты, такие как SPAWNSNAIL, SPAWNMOLE, SPAWNANT и SPAWNSLOTH, использовались для создания постоянных бэкдоров на взломанных устройствах Ivanti Connect Secure.

Для несанкционированного доступа и обеспечения сохраняемости были развернуты различные вредоносные программы, включая BRICKSTORM и ROOTROT.

UNC5266 развернул бэкдор под названием TERRIBLETEA, который взаимодействует по протоколу HTTP с использованием шифрования XXTEA и предлагает различные функциональные возможности.

TERRIBLETEA использует скрипт профиля Bash для сохранения и адаптирован для конкретных сред.

Особое внимание уделяется агрессивному использованию уязвимостей нулевого и нулевого дня связанными с Китаем злоумышленниками, нацеленными на передовые устройства.
#ParsedReport #CompletenessHigh
17-05-2024

Bringing Access Back - Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect

https://cloud.google.com/blog/topics/threat-intelligence/initial-access-brokers-exploit-f5-screenconnect

Report completeness: High

Actors/Campaigns:
Unc5174 (motivation: hacktivism)
Dawn_calvary (motivation: hacktivism)
Xiaoqiying (motivation: hacktivism)
Unc302 (motivation: hacktivism)

Threats:
Screenconnect_tool
Connectwise_rat
Supershell
Smuggling_technique
Snowlight
Goheavy_tool
Goreverse
Netcat_tool
Fscan_tool
Gobfuscate_tool
Sliver_c2_tool
Sqlmap_tool
Dirbuster_tool
Metasploit_tool
Afrog_tool
Credential_dumping_technique

Victims:
U.s. defense contractors, Uk government entities, Institutions in asia, Southeast asian research and education institutions, U.s. research and education institutions, Hong kong businesses, Charities and non-governmental organizations in hong kong, U.s. government organizations, Uk government organizations, Organizations using f5 big-ip appliances, have more...

Industry:
Government, Military, Education, Ngo

Geo:
China, Asia, Chinese, Taiwan, Oceania, Canada, Asian

CVEs:
CVE-2023-22518 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<7.19.16, 6.0.6, 6.10.1, 7.4.4, 5.3.1)

CVE-2022-0185 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux kernel (<5.4.173, <5.10.93, <5.15.16, <5.16.2)
- netapp h410c firmware (-)
- netapp h300s firmware (-)
- netapp h500s firmware (-)
- netapp h700s firmware (-)
have more...
CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8, 23.8.4, 22.7, 23.8.5, -)

CVE-2023-22515 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.3.3, 8.3.0, 8.3.1, 8.2.1, 8.3.2)
- atlassian confluence server (<8.3.3, 8.1.0, 8.1.3, 8.2.0, 8.3.1)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8, 23.8.4, 22.7, 23.8.5, -)

CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le13.1.5, 13.1.0.6, 13.1.0, 13.1.0.5, 13.1.1.1)

CVE-2022-30525 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel usg flex 100w firmware (<5.30)
- zyxel usg flex 200 firmware (<5.30)
- zyxel usg flex 500 firmware (le5.30)
- zyxel usg flex 700 firmware (<5.30)
- zyxel vpn100 firmware (<5.30)
have more...

TTPs:
Tactics: 11
Technics: 42

IOCs:
IP: 3
Url: 1
Hash: 6

Soft:
BIG-IP, Confluence, Zyxel, cURL, Telegram, outlook, Unix

Algorithms:
xor

Languages:
visual_basic, golang

Links:
https://github.com/Chocapikk/CVE-2023-22515
https://github.com/shadow1ng/fscan
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 Bringing Access Back - Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect https://cloud.google.com/blog/topics/threat-intelligence/initial-access-brokers-exploit-f5-screenconnect Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в отчете о киберугрозах, в котором подробно описывается деятельность группы злоумышленников UNC5174, предположительно базирующейся в Китае и связанной с китайским правительством. В отчете описывается использование уязвимостей группой, профиль участников, использование пользовательских инструментов и фреймворков, целевые операции, рекомендации по устранению последствий, атрибуция, посредничество в доступе и будущий ландшафт угроз.
-----

В отчете cyber threat intelligence подробно описывается серия изощренных кибервзломов и атак, проведенных группой злоумышленников, известной как UNC5174, которая, как полагают, базируется в Китае и связана с Китайской Народной Республикой (КНР). Вот ключевые моменты из отчета:.

**Используемые уязвимости**:.

В конце октября 2023 года UNC5174 воспользовался уязвимостью нулевого дня (CVE-2023-46747), затрагивающей пользовательский интерфейс управления трафиком F5 BIG-IP, что позволило получить несанкционированный доступ к скомпрометированным системам.

В феврале 2024 года UNC5174 использовал уязвимость Connectwise ScreenConnect CVE-2024-1709 для взлома сотен учреждений в США и Канаде.

**Профиль актера**:.

UNC5174, использующий псевдоним "Uteus", идентифицирован как бывший член китайских коллективов хактивистов, который в настоящее время работает подрядчиком в Министерстве государственной безопасности Китая (МГБ), занимаясь операциями доступа и, возможно, посредничеством в получении доступа к скомпрометированным средам.

**Инструменты и фреймворк**:.

В UNC5174 использовались пользовательские инструменты и платформа SUPERSHELL, демонстрирующие уникальный и целенаправленный подход, связанный с PRC threat actor, UNC5174.

Актер использовал различные инструменты, такие как SNOWLIGHT, GOHEAVY, GOREVERSE и другие, чтобы облегчить разведку сети, боковое перемещение и установление каналов связи с серверами C2.

**Цели и операции**:.

UNC5174 был агрессивно нацелен на исследовательские институты, предприятия, государственные учреждения и НПО в Юго-Восточной Азии, США, Великобритании и других регионах.

Mandiant выявил UNC5174, пытавшийся продать доступ оборонным подрядчикам США и правительственным структурам Великобритании после успешного использования уязвимостей.

**Меры по смягчению последствий и рекомендации**:.

Компания Mandiant рекомендовала применять сценарии устранения неполадок, предоставляемые поставщиками, для защиты уязвимых систем, поиска признаков компрометации и мониторинга действий по доступу, особенно связанных с выявленными уязвимостями.

В отчете подчеркивается сохраняющаяся угроза, которую представляет UNC5174 для организаций академического, неправительственного и государственного секторов в конкретных регионах.

**Методы и атрибуция**:.

Систематическое использование уязвимостей в широко распространенном оборудовании edge в документе UNC5174 подчеркивает целенаправленный подход к получению доступа к стратегическим целям, отвечающим интересам КНР.

**Посреднический доступ**:.

UNC5174 определен в качестве начального посредника доступа для MSS, сотрудничающего с другими участниками угроз, такими как UNC302, и демонстрирующего общие эксплойты и операционные приоритеты.

**Ландшафт будущих угроз**:.

Mandiant прогнозирует продолжение угроз со стороны UNC5174, нацеленных на конкретные секторы и регионы, представляющие интерес для КНР, что подчеркивает эволюционирующий и постоянный характер киберугроз, исходящих от субъектов, спонсируемых государством.
#ParsedReport #CompletenessHigh
17-05-2024

APT29 Uses WINELOADER to Target German Political Parties

https://cloud.google.com/blog/topics/threat-intelligence/apt29-wineloader-german-political-parties

Report completeness: High

Actors/Campaigns:
Duke (motivation: cyber_espionage)

Threats:
Wineloader
Envyscout
Burntbatter
Muskybeat
Beatdrop_loader
Password_spray_technique
Donut
Daveshell
Dll_sideloading_technique
Process_injection_technique

Victims:
German political parties

Industry:
Government

Geo:
Russian, Russia, German, Peru, Moscow, Czechia, India, Italy, Ukraine, Germany, Latvia

TTPs:
Tactics: 2
Technics: 10

IOCs:
Url: 3
File: 7
Hash: 8

Soft:
Jenkins, WordPress, outlook, LibreOffice, Windows Service

Algorithms:
md5, rc4, zip

Languages:
javascript, php

Links:
https://github.com/javascript-obfuscator/javascript-obfuscator
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 APT29 Uses WINELOADER to Target German Political Parties https://cloud.google.com/blog/topics/threat-intelligence/apt29-wineloader-german-political-parties Report completeness: High Actors/Campaigns: Duke (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в конце февраля 2024 года группа APT29, связанная с российской службой внешней разведки, атаковала немецкие политические партии, используя новый вариант бэкдора под названием WINELOADER. Это свидетельствует о смещении акцента APT29 в сторону политических партий и отходе от дипломатических миссий, а также свидетельствует о заинтересованности СВР в получении информации, способствующей достижению геополитических целей Москвы. В тексте также подчеркивается, что в будущем операции APT29 могут распространиться на западные политические образования за пределами Германии.
-----

В конце февраля 2024 года APT29, террористическая группа, связанная со Службой внешней разведки России (СВР), атаковала немецкие политические партии с помощью нового бэкдора под названием WINELOADER. Это знаменует собой смещение акцента APT29 в сторону политических партий, отказ от типичной для него ориентации на дипломатические миссии. В ходе фишинговой кампании были отправлены электронные письма, выдаваемые за приглашения на мероприятие Христианско-демократического союза (ХДС), содержащие вредоносные вложения, которые привели к развертыванию WINELOADER через взломанный веб-сайт.

Вредоносная программа ROOTSAW, использовавшаяся в качестве начальной точки доступа, была постоянным инструментом в операциях APT29, направленных на сбор внешнеполитической разведданных. Ее использование в качестве мишени для политических партий Германии свидетельствует о заинтересованности СВР в получении информации, способствующей достижению геополитических целей Москвы. Перевод документов на немецкий язык, что является отличием от предыдущих операций, предполагает переход к внутриполитическим структурам.

WINELOADER, который используется с января 2024 года, обладает общими функциями с другими семействами вредоносных программ APT29, такими как BURNTBATTER и MUSKYBEAT, что указывает на общего разработчика. Вредоносная программа использует уникальные методы взаимодействия со своим сервером управления (C2), используя такие методы, как расшифровка RC4, проверка процессов и загрузка DLL на стороне пользователя. ZScaler получил инструкции по поддержанию работоспособности WINELOADER путем настройки ключа запуска.

В дальнейшем интерес APT29 к политическим партиям выходит за пределы Германии, и западные политические организации из различных слоев общества могут стать потенциальными мишенями для будущих действий в области кибершпионажа. Ожидается, что деятельность группы будет развиваться в соответствии с геополитическими интересами России, потенциально фокусируясь на понимании динамики, связанной с Украиной, и других ключевых внешнеполитических вопросах. Как показала тактика фишинга, APT29 может использовать альтернативные методы, такие как облачная аутентификация subversion, для получения первоначального доступа.